Como analisar dados hexadecimais a partir da entrada do teclado com o Wireshark?

Question

Como analisar dados hexadecimais a partir da entrada do teclado com o Wireshark?

#1 resposta do (1 votos)

0

Para fins de aprendizado, gostaria de analisar meus pacotes Ethernet hexadecimais manuscritos com o Wireshark. Eu tentei escrever valores hexadecimais em um arquivo de texto e importá-los para o Wireshark, mas o programa não exibe nada.

Como é possível analisar a entrada do teclado com o Wireshark?

wireshark

por Robin 11.01.2017 / 12:12

1 resposta

Tags wireshark

Qual usuário está logado na tela de login do Windows 7? Pacotes Nuget não são exibidos no PowerShell Windows 10

score 1 · Accepted Answer

Os bytes hexadecimais devem estar no formato esperado para text2pcap . Você pode usar a ferramenta complementar text2pcap da linha de comando do Wireshark para converter o arquivo de texto em um arquivo pcap (ou arquivo pcapng por meio da opção -n ) ou usar o próprio Wireshark.

Como barlop indicou, você pode querer iniciar com um pacote simples (ou pequeno número de pacotes) no Wireshark e exportá-lo para um arquivo de texto através do método File -> Export Packet Dissections -> as "Plain Text" file... do Wireshark para ver a saída resultante. Se você fizer isso, não se esqueça de desmarcar as opções "Linha de resumo do pacote" e "Detalhes do pacote" e selecionar "Bytes do pacote"; caso contrário, você não verá a saída esperada.

Se você quiser preservar o timestamp do pacote, precisará exportá-lo. Para fazer isso, sugiro criar um novo perfil do Wireshark que contenha apenas a coluna de tempo absoluto e, ao executar a exportação, selecione "Linha de resumo do pacote", mas desmarque a opção "Incluir cabeçalhos de coluna". Isso gravará o registro de data e hora no arquivo de texto, que o Wireshark ou o text2pcap poderão usar posteriormente ao importá-lo.

No Wireshark, você deve importar o arquivo de texto usando File -> Import from Hex Dump... e marcar a caixa de seleção "Data / Hora" se quiser que o Wireshark faça uso de qualquer registro de data e hora salvo; o formato padrão de "% F% T". deve funcionar muito bem. Consulte o Guia do usuário do Wireshark para obter mais informações.

Com text2pcap , você usaria algo como o seguinte para criar um arquivo pcap a partir do arquivo de texto, que o Wireshark poderia abrir:

text2pcap -a -t "%F %T." input.txt output.pcap

Veja um exemplo de texto que representa um par de solicitação / resposta de eco ICMP para ajudá-lo:

2017-01-12 12:30:00.000000000

0000  00 20 ee 00 00 02 00 20 ee 00 00 01 08 00 45 00   . ..... ......E.
0010  00 28 45 a7 00 00 80 01 71 78 c0 a8 01 64 c0 a8   .(E.....qx...d..
0020  01 01 08 00 a5 d0 00 01 00 3f 48 65 6c 6c 6f 20   .........?Hello 
0030  57 6f 72 6c 64 21                                 World!

2017-01-12 12:30:00.000001000

0000  00 20 ee 00 00 01 00 20 ee 00 00 02 08 00 45 00   . ..... ......E.
0010  00 28 45 a7 00 00 ff 01 f2 77 c0 a8 01 01 c0 a8   .(E......w......
0020  01 64 00 00 ad d0 00 01 00 3f 48 65 6c 6c 6f 20   .d.......?Hello 
0030  57 6f 72 6c 64 21 00 00 00 00 00 00               World!......